高级用户的工作流程

对于具有 Web 安全性经验的用户,此工作流程可帮助他们执行更为彻底的扫描。

“测试”阶段乃至扫描本身的成功与否均取决于在“探索”阶段所达到的覆盖范围。如果“探索”阶段遗漏了应用程序逻辑的重要部分,那么在“测试”阶段将无法揭示可能存在的重要漏洞。遵循此工作流程有助于改进“探索”阶段的覆盖范围。

工作流程图

任务

描述

1. 初始配置

通过使用向导或“扫描配置”对话框,可以执行以下操作:
  1. 定义起始 URL
  2. 记录登录过程
  3. 验证会话中模式以及必要时选择新模式
  4. 如果您的站点具有帐户锁定功能,那么请禁用该功能或将 AppScan 配置为不测试登录页面 - 否则在“测试”阶段 AppScan 将会被锁在站点之外而无法继续进行操作。

有关此步骤更全面的描述,请参阅初始配置

2. 仅探索

运行初始“自动探索”:
  1. 在上下文工具栏上,单击仅探索,并允许新的“探索”阶段完成。AppScan 将探索该站点,但并不会进行测试。
    注: 如果您的站点使用 URL 重写,请运行“探索优化”(工具 > 扩展 > 探索优化模块:运行),并且如果扩展给予建议,那么请再次运行“自动探索”阶段(扫描 > 重新探索)。
  2. 如果“探索”因 AppScan 退出会话而提前终止,请重新记录和配置登录过程,同时请特别留意“会话中检测”和“会话标识跟踪”。

有关此步骤更全面的描述,请参阅初始“自动探索”

3. 使用浏览器手动改进站点覆盖范围

添加“自动探索”遗漏的 URL:
  1. 手动探索:使用“手动探索”添加独立页面(例如,需要特定输入的页面)。
    注: 在极少数情况下,内置浏览器无法浏览应用程序,此时,您可以将 AppScan 配置为使用其他浏览器。
  2. 多步骤操作:如果部分站点只能以特定顺序点击链接的方式才可访问,那么请记录一个或多个“多步骤操作”。

有关此步骤更全面的描述,请参阅手动改进站点覆盖范围

4. 继续仅探索

使用通过“手动探索”提供的新数据,“自动探索”将可能更全面地探索应用程序。
注: 单击继续自动探索以保留初始“探索”结果和“手动探索”数据。请勿单击重新扫描 > 重新探索,因为这会删除现有数据。

5. 评估“探索”结果

复审目前已得到的结果,以查看到目前为止已执行的探索是否比较全面地覆盖了应用程序逻辑。
注: 如果要对配置进行任何更改,请再次运行“自动探索”(扫描 > 重新探索)。

有关此步骤更全面的描述,请参阅评估探索结果

6. (如需要)其他配置

如果应用程序覆盖范围目前为止仍是偏少,那么就应考虑一些其他配置选项。

有关此步骤更全面的描述,请参阅其他配置

7. “测试”阶段

单击仅测试,进入“测试”阶段以完成扫描。